Sea Turtle

Tra i numerosi attacchi informatici che ogni giorno vengono scoperti, segnalati ma mai ammessi pubblicamente, spesso portati ai danni di grandi aziende private o pubbliche, uno in particolare ha destato attenzione a causa delle metodologie utilizzate per il suo svolgimento.

Il cosiddetto “Sea Turtle”, scoperto dal team di sicurezza informatica “Talos Intelligence” della multinazionale americana Cisco, una delle più importanti nel suo settore.

Talos ci parla di Sea Turtle come del primo attacco mai documentato che abbia compromesso sistemi DNS.

L’attacco aveva come bersaglio organizzazioni di sicurezza nazionale, grandi aziende energetiche e ministeri delgi affari esteri situate in Nord Africa e Medio Oriente ma per riuscire nel suo intento, altri bersagli secondari sono stati presi di mira, come telco e ISP.

Secondo il report di Talos, oltre 40 organizzazione in 13 paesi sono state compromesse tra il Gennaio del 2017 e la prima metà del 2019 ma la vera entità dei danni è ancora da stimare in quanto l’attacco non é ancora concluso..

Cosa rende questa campagna di attacco ai sistemi DNS così spaventosa agli occhi degli esperti della Cisco?

Per rispondere a questa domanda dobbiamo prima definire DNS.

DNS è l’acronimo per Domain Name System, il sistema che viene utilizzato per risolvere i nomi degli host in indirizzi IP, ossia associa ad un indirizzo ip un nome facile da ricordare all’utente. Questa è una delle funzionalità del DNS più importanti e che che possiamo vedere tutti i giorni.

La metodologia dell’attacco consiste nel manomettere i servizi DNS del bersaglio per poi reindirizzare un utente verso un server controllato dall’attaccante, questo porta in seguito all’acquisizione di credenziali e password degli utenti che vengono utilizzate per ottenere accesso ad altre informazioni.

Tutto ciò è stato possibile grazie a tecniche di attacco che prevedono l’utilizzo sia di spear phishing che l’utilizzo di exploit di varie applicazioni.

Sea Turtle ha agito a lungo e in maniera discreta. Chi ha portato questo attacco, dice Talos, ha utilizzato un approccio unico in quanto i servizi DNS non vengono monitorati costantemente.

Come ci dice Talos, vi sono tre possibili modalità attraverso le quali gli attaccanti avrebbero potuto accedere ai servizi DNS delle organizzazioni colpite:

1. Accedendo al DNS registrar (compagnia che fornisce nomi di dominio alle aziende e ne gestisce i record DNS attraverso il registry, ossia un database contenente tutti i nomi di dominio e le compagnie a cui essi sono associati), attraverso l’acquisizione delle credenziali di accesso appartenenti al DNS registrant (l’organizzazione colpita);

2. Attraverso il registrar stesso, entrando nel precedentemente citato registry e manomettendo i record DNS utilizzando l’ Extensible Provisioning Protocol (EPP), il protocollo utilizzato per accedere al registry. Ottenendo le chiavi EPP l’attaccante avrebbe potuto manomettere a proprio piacimento i record DNS del registrar preso di mira;

3. Il terzo metodo si basa sull’attacco diretto ai DNS registries per accedere ai record DNS, i registries sono una parte vitale del servizio DNS, in quanto ogni Top Level Domain si basa su di essi.

Sea Turtle ha agito a lungo e in maniera discreta, chi ha portato questo attacco, dice Talos, ha utilizzato un approccio unico in quanto i servizi DNS non vengono monitorati costantemente.

Talos scriveva questo report ad Aprile di quest’anno, ma ciò non ha fermato né rallentato l’attività del gruppo, tanto che a luglio Talos ha pubblicato un aggiornamento.

Sembra infatti che negli ultimi mesi sia stata utilizzata un'altra tecnica di attacco. Ogni entità attaccata puntava le sue richeste DNS ad un personale server manomesso, differente per ogni utente compromesso il che rende l’attacco ancora più difficile da sventare e tracciare.

Possiamo dire dunque che chiunque si trovi dietro a Sea Turtle è un gruppo senza scrupoli, guidato probabilmente da interessi nazionali e dotato di infrastrutture notevoli.

L’importanza dei servizi DNS è grande. L’intera struttura di Internet si basa su loro corretto funzionamento, ed insieme ad esso, la totalità dell’economia mondiale e servizi forniti da ogni società e governo.

Per questa ragione Talos si dice fortemente contraria alle metodologie con le quali la campagna Sea Turtle (e l'organizzazione o Stato che vi è dietro) sta mettendo in pratica questa serie di attacchi, 

Questa campagna potrebbe rappresentare l’inizio di una serie di attacchi mirati a manomettere in maniera più vasta e potenzialmente disastrosa il sistema DNS, portando a conseguenze che potrebbero colpire ognuno di noi.

Francesco Rugolo

Per approfondire:

• https://blog.talosintelligence.com/2019/04/seaturtle.html
• https://blog.talosintelligence.com/2019/07/sea-turtle-keeps-on-swimming.html
• https://www.cisco.com
• https://www.kaspersky.it/resource-center/definitions/spear-phishing